クリックジャッキング

情報セキュリティ > 脆弱性・攻撃手法 > アクションスプーフィング > クリックジャッキング

クリックジャッキング（クリックジャック攻撃、Clickjacking、User Interface redress attack、UI redress attack、UI redressing）は、ウェブページの利用者に対し悪意をもって使用される技術の一種で、リンクやボタンなどの要素を隠蔽・偽装してクリックを誘い、利用者の意図しない動作をさせようとする手法である^[1]^[2]^[3]。たとえば、別の機能を実行するボタンに見せかけるなどして、埋め込まれたコードを利用者に気づかれないように実行する。この手口により、一見無害そうなページ上でクリックを行うだけで、情報の漏洩やコンピュータの乗っ取りにつながるおそれがある。様々なウェブブラウザやプラットフォームに共通するセキュリティ上の問題といえる^[4]^[5]。

なお "clickjacking" という表現は Jeremiah Grossman と Robert Hansen が2008年に造語したものである^[6]。

概要

攻撃者は透明化した別のページを、利用者が開くページの上に重ねて読み込ませる。これにより利用者はそこに見えるボタンをクリックしていると思っても、実際にはその上にある別のボタンをクリックしているという状況になる。

このとき、「真正な」ページ（たとえばソーシャル・ネットワーキング・サービスの公式サイト）を重ねることもできる。つまり利用者は知らぬ間に他のサイト上で何らかの行動を取らされるおそれがある。この場合利用者は自分でボタンを押して正しい手続きを踏んでいることになるので、あとから攻撃の痕跡をたどる術はない。

クリックジャッキングはConfused deputy problem（コンピュータのもつ権限を悪用させられる問題）の一種と捉えることができる^[7]。

実例

Flashを利用し、Webカメラやマイクを作動させる
ソーシャル・ネットワーキング・サービスのプロフィールの公開設定を変更させる
Twitterで誰かをフォローさせる^[8]
Facebookでリンクをシェアさせる^[9]^[10]

2009年3月、はまちや2がはてなブックマーク利用者を対象に、一見無関係なボタンを押すことにより意図せずソーシャルブックマークをさせられてしまうというデモンストレーションを公開した^[11]。

対策

利用者側

Mozilla Firefoxでは、NoScriptというアドオンが提供するClearClick機能が利用できる。他のブラウザでも、攻撃に使用されるFlashなどのプラグイン、iframe、JavaScriptを手動で無効にすることはできるが、クリックジャッキングはCSSのみでも実現可能なため、完全に防ぐことはできない^[12]^[13]。

提供者側

クリックジャッキングにより利用者に不本意なクリックをさせることを避けたいウェブサイト管理者は、HTTPレスポンスヘッダーにX-FRAME-OPTIONSを含めることで、そのウェブページ内に、他のサイトのページのiframe要素やframe要素を呼び出さないようにウェブブラウザに指示することができる^[14]。2015年現在、主要なウェブブラウザのすべてがこの指示に従う。

重要な操作については、再度パスワードの入力を求め、パスワードが正しいときだけ処理を実行する^[14]。
重要な処理を実行する画面では、途中でキーボード躁作を要求するなどして、マウス操作のみでは完了しないようにする^[14]。

脚注

↑ Robert McMillan (2008年9月17日). “At Adobe's request, hackers nix 'clickjacking' talk”. PC World. 2008年10月8日閲覧。
↑ Megha Dhawan (2008年9月29日). “Beware, clickjackers on the prowl”. India Times. 2008年10月8日閲覧。
↑ Dan Goodin (2008年10月7日). “Net game turns PC into undercover surveillance zombie”. The Register. 2008年10月8日閲覧。
↑ Fredrick Lane (2008年10月8日). “Web Surfers Face Dangerous New Threat: 'Clickjacking'”. newsfactor.com. 2008年10月13日時点のオリジナルよりアーカイブ。2008年10月8日閲覧。
↑ Sumner Lemon (2008年9月30日). “Business Center: Clickjacking Vulnerability to Be Revealed Next Month”. 2008年10月8日閲覧。
↑ You don't know (click)jack Robert Lemos, October 2008
↑ The Confused Deputy rides again!, Tyler Close, October 2008
↑ Daniel Sandler (2009年2月12日). “Twitter's "Don't Click" prank, explained (dsandler.org)”. 2009年12月28日閲覧。
↑ Krzysztof Kotowicz (2009年12月21日). “New Facebook clickjacking attack in the wild”. 2009年12月29日閲覧。
↑ BBC (2010年6月3日). “Facebook "clickjacking" spreads across site”. BBC News 2010年6月3日閲覧。
↑ Hamachiya2 (2009年3月3日). “クリックジャッキングってこうですか? わかりません”. 2009年3月3日閲覧。
↑ Michal Zalevski (2008年12月10日). “Browser Security Handbook, Part 2, UI Redressing”. Google Inc.. 2008年12月29日閲覧。
↑ “NoScript - JavaScript/Java/Flash blocker for a safer Firefox experience! - faq - InformAction”. 2015年10月3日閲覧。
1 2 3 “安全なウェブサイトの作り方 - 1.9 クリックジャッキング | 情報セキュリティ”. IPA 独立行政法人情報処理推進機構. 2025年7月23日閲覧。

外部リンク

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。

[1] Robert McMillan (2008年9月17日). “At Adobe's request, hackers nix 'clickjacking' talk”. PC World. 2008年10月8日閲覧。

[2] Megha Dhawan (2008年9月29日). “Beware, clickjackers on the prowl”. India Times. 2008年10月8日閲覧。

[3] Dan Goodin (2008年10月7日). “Net game turns PC into undercover surveillance zombie”. The Register. 2008年10月8日閲覧。

[4] Fredrick Lane (2008年10月8日). “Web Surfers Face Dangerous New Threat: 'Clickjacking'”. newsfactor.com. 2008年10月13日時点のオリジナルよりアーカイブ。2008年10月8日閲覧。

[5] Sumner Lemon (2008年9月30日). “Business Center: Clickjacking Vulnerability to Be Revealed Next Month”. 2008年10月8日閲覧。

[6] You don't know (click)jack Robert Lemos, October 2008

[7] The Confused Deputy rides again!, Tyler Close, October 2008

[8] Daniel Sandler (2009年2月12日). “Twitter's "Don't Click" prank, explained (dsandler.org)”. 2009年12月28日閲覧。

[9] Krzysztof Kotowicz (2009年12月21日). “New Facebook clickjacking attack in the wild”. 2009年12月29日閲覧。

[10] BBC (2010年6月3日). “Facebook "clickjacking" spreads across site”. BBC News 2010年6月3日閲覧。

[11] Hamachiya2 (2009年3月3日). “クリックジャッキングってこうですか? わかりません”. 2009年3月3日閲覧。

[12] Michal Zalevski (2008年12月10日). “Browser Security Handbook, Part 2, UI Redressing”. Google Inc.. 2008年12月29日閲覧。

[13] “NoScript - JavaScript/Java/Flash blocker for a safer Firefox experience! - faq - InformAction”. 2015年10月3日閲覧。

[:0-14] 1 2 3 “安全なウェブサイトの作り方 - 1.9 クリックジャッキング | 情報セキュリティ”. IPA 独立行政法人情報処理推進機構. 2025年7月23日閲覧。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

表話編歴脆弱性、攻撃手法、エクスプロイトと対策
インジェクション (CWE-74)・入力検証不備	不適切な入力検証 (CWE-20) OSコマンドインジェクション (CWE-78) クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) LDAPインジェクション (CWE-90) コードインジェクション (CWE-94) HTTPパラメータ汚染 (CWE-235) HTTPヘッダ・インジェクション (CWE-113) HTTPリクエストスマグリング (CWE-444) HTTPレスポンス分割 (CWE-113) 書式文字列攻撃 (CWE-134) XML外部実体攻撃 (XXE) (CWE-611) Insecure Deserialization（英語版）(CWE-502) DLLサイドローディングファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）プロンプトインジェクション
Web・ブラウザ・クライアント関連	ディレクトリトラバーサル (CWE-22) クロスサイトリクエストフォージェリ (CSRF) (CWE-352) Webキャッシュポイゾニング (CWE-444) サーバサイド・リクエストフォージェリ (SSRF) (CWE-918) IDNホモグラフ攻撃 (CWE-1007) クリックジャッキング (CWE-1021) クロスサイトトレーシング (XST) DNSリバインディング（英語版）クロスサイト・クッキングリファラスプーフィング（英語版） (CWE-601) クロスゾーンスクリプティング（英語版）ドライブバイダウンロード
認証・セッション・なりすまし	セッションハイジャック (CWE-287) IPスプーフィング (CWE-290) クレデンシャル・スタッフィング (CWE-307) 権限昇格 DNSスプーフィング (CWE-345) ドメインハイジャックセッションフィクセーション (CWE-384) パス・ザ・ハッシュ攻撃 (CWE-522) ファーミング (CAPEC-89) リプレイ攻撃中間者攻撃 (MITM) ARPスプーフィング MITB攻撃悪魔の双子攻撃セッションポイズニング Kerberoasting クッキーモンスター攻撃（英語版）クッキースタッフィング（英語版） in-sessionフィッシング（英語版） MOTS攻撃（英語版）
システム・メモリ・並行処理	バッファオーバーフロー (CWE-119) 整数オーバーフロー (CWE-190) スタックバッファオーバーフロー（英語版） Off-by-oneエラー (CWE-193) Return-to-libc攻撃競合状態 (Race Condition) (CWE-362) Time-of-check to time-of-use (TOCTOU) (CWE-367) TCPシーケンス番号予測攻撃 JITスプレー Spectre Use After Free（英語版）ダングリングポインタ（英語版）
暗号・サイドチャネル・ハードウェア	サイドチャネル攻撃 (CWE-203) 平文保存(CWE-312) 危殆化 (CWE-327) POODLE(CWE-757) KRACK(CWE-757) レインボーテーブル攻撃誕生日攻撃 Meltdown CRIME Intel ME（英語版） Lazy FP state restore（英語版） TLBleed（英語版）スナーフィング（英語版）コールドブート攻撃（英語版）
可用性侵害 (DoS攻撃)	DoS攻撃 (CWE-400) ICMP echoフラッド Smurf攻撃 SYN flood UDPフラッド攻撃 HTTP Flood スローロリス_(DOS攻撃ツール) ZIP爆弾 (CWE-409) Billion laughs攻撃 (XML爆弾) (CWE-776) クリアチャネル評価攻撃（英語版）
電子メール関連	オープンリレーフィッシング (詐欺) (CAPEC-98) Eメール・インジェクション（英語版）メールボム Eメールスプーフィング
マルウェア・悪意のあるプログラム	アドウェアインターネットボットキーロガークリプトジャッキング (仮想通貨マイニング) コンピュータウイルススケアウェア (偽警告) ステガノグラフィ・マルウェア（英語版）スパイウェアダウンローダートロイの木馬ドロッパーバックドアファイルレスマルウェアボットネットポリモーフィック型マルウェアマルバタイジングランサムウェアルートキットワイパー (データ消去型) ワーム
サイバーセキュリティ・対策技術	ファイアウォール(FW) 次世代ファイアウォール(NGFW) Web Application Firewall (WAF) 侵入検知システム (IDS) 侵入防止システム (IPS) ハニーポットペネトレーションテスト Static Application Security Testing(SAST) Dynamic Application Security Testing(DAST) Interactive Application Security Testing(IAST) Endpoint Detection and Response (EDR) Endpoint Protection Platform（EPP） Network detection and response(NDR) User and Entity Behavior Analytics（UEBA）セキュアアクセスサービスエッジ（SASE） Security information and event management (SIEM) Security Orchestration, Automation and Response (SOAR) Cloud access security broker (CASB) FIDO (認証技術) Forward secrecy 多要素認証 (MFA) Privileged access management (PAM) Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Brand Indicators for Message Identification (BIMI) DKIM DMARC Outbound Port 25 Blocking（OP25B） Pretty Good Privacy（PGP） Sender Policy Framework (SPF) STARTTLS S/MIME Wi-Fi Protected Access アドレス空間配置のランダム化 (ASLR) イミュータブルバックアップコンテンツスニッフィングサイバーレジリエンスセキュリティ・バイ・デザイン (SBD) セキュリティ侵害インジケーター (IoC) ソフトウェア・サプライチェーン多層防御ゼロトラスト・セキュリティモデルセキュリティオペレーションセンター CSIRT PSIRT
関連用語	MITRE ATT&CK APT攻撃アクティブディフェンスエクスプロイトキットゼロデイ攻撃サイバーキルチェーンクラッキング最小権限の原則サイバー脅威インテリジェンスサプライチェーン攻撃シェルコードスクリプトキディソーシャル・エンジニアリングゾンビコンピュータセキュリティホールダークウェブデジタル・フォレンジック難読化ハクティビズムハッカーブラウザクラッシャーペイロード水飲み場型攻撃 Metasploit ラテラルムーブメント PPAP
セキュリティ関係団体・法律	サイバーセキュリティ基本法サイバー警察局独立行政法人情報処理推進機構（IPA）国家サイバー統括室（NCO）情報通信研究機構（NICT）アメリカ国立標準技術研究所（NIST）欧州ネットワーク・情報セキュリティ機関（ENISA）日本情報経済社会推進協会（JIPDEC) CRYPTREC 共通攻撃パターン一覧 (CAPEC) 共通脆弱性識別子（CVE）共通脆弱性評価システム（CVSS）共通脆弱性タイプ一覧（CWE） OWASP JPCERTコーディネーションセンター (JPCERT/CC) Japan Vulnerability Notes (JVN) 脆弱性情報データベース脆弱性報奨金制度

概要

実例

対策

利用者側

提供者側

脚注

関連項目

外部リンク